吃过饭,回来更新修订了。
如果大量的 1.2.3/4 (a.b.c.d) 记录,且客户机打开openai.com的时候,在从Surge Dashboard
- 不在出现
- Ruleset处理符合
那么,我认为当前的问题就是已经解决了。
我的排查方法:
基于Surge Dashboard出现如下的信息, 且留意到占比最大的是208.67.222.222:53,且是UDP方式
13.107.6.163:443 (upload.fp.measure.office.com)
208.67.222.222:53 (Port Map)
52.123.178.65:3478 (Port Map)
208.67.222.222:53 (Port Map)
Rule Evaluating - 10 ms
Active - 67 s
Events
17:25:53.667106 [Rule] Rule matched: FINAL
17:25:53.667268 [Rule] Policy decision path: HK -> [BosLife] 香港-02
17:25:53.667500 [UDP] Working in Port Map mode. The client might send and receive data from multiple IP addresses.
17:27:00.837451 [UDP] Closed for inactivity.
因此,在ip-api.com 查询发现是:
{
"query": "208.67.222.222",
"status": "success",
"continent": "North America",
"continentCode": "NA",
"country": "United States",
"countryCode": "US",
"region": "MO",
"regionName": "Missouri",
"city": "Wright City",
"district": "",
"zip": "63390",
"lat": 38.811,
"lon": -91.0332,
"timezone": "America/Chicago",
"offset": -21600,
"currency": "USD",
"isp": "Cisco OpenDNS, LLC",
"org": "Cisco OpenDNS, LLC",
"as": "AS36692 Cisco OpenDNS, LLC",
"asname": "OPENDNS",
"mobile": false,
"proxy": false,
"hosting": false
}
然后, 查客户机本地的情况, ipconfig/all 并无异常
Wireless LAN adapter Wi-Fi:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) Wi-Fi 6 AX201 160MHz
Physical Address. . . . . . . . . : 08-5B-XXXXXXX-FF-50-B9
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.160(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 2023年11月17日 15:05:31
Lease Expires . . . . . . . . . . : 2023年11月18日 15:05:31
Default Gateway . . . . . . . . . : 192.168.1.200
DHCP Server . . . . . . . . . . . : 192.168.1.253
DNS Servers . . . . . . . . . . . : 198.18.0.2
NetBIOS over Tcpip. . . . . . . . : Enabled
并且,nslookup 也显示DNS就是Surge的DNS
C:\Users\ooo>nslookup
Default Server: UnKnown
Address: 198.18.0.2
既然,上述出现了208.67.222.222:53 Cisco OpenDNS
因此,试着 Netstat -a 发现 127.0.0.1:53 有启用, 初步判断,是不是本地DNS被劫持了。
然后在 Task manager - service 搜索 DNS 发现有个dnscrypt-proxy (Cisco AnyConnect Secure Mobility Agent for Windows)
那就去 Service 控制面板查到这个服务, Stop 这个服务。
结果:
- 127.0.0.1:53 不再出现
- Surge Dashboard 不再出现 大量的 1.2.3/4 (a.b.c.d) 这种记录
但依然有少量183.61.169.210:443 (Port Map)记录
继续观察中。。。
